Мне интересно, имеет ли смысл подключать одну машину к нескольким отдельным экземплярам Puppetmaster.
В моем случае у меня другой уровень привилегий, который я хочу предоставить операторам серверов. У нас уже есть довольно широкий (~ 100) набор клиентов Puppet, подключенных к одному Puppetmaster, на котором мы используем экспортированные ресурсы для настройки Nagios, Munin, Backups и так далее. Достаточно стандартный материал. Но теперь у нас есть еще один проект, в котором мы полностью настраиваем отдельный Puppetmaster для клиента, так как мы не хотели предоставлять им доступ к нашей внутренней инфраструктуре. Тем не менее, мы хотели бы импортировать экспортированные ресурсы на их серверах в нашу инфраструктуру мониторинга, чтобы мы могли контролировать их машины.
Я предполагаю, что другой способ сформулировать вопрос: можно ли запускать (несколько?) Клиентов Puppet на одной машине, подключенной к нескольким отдельным мастерам Puppetmasters?
Или есть способ поделиться экспортированными ресурсами или данными между Puppetmaster, ограничивая доступ?
(Я знаю, что Puppet можно масштабировать по горизонтали, развернув несколько серверов Puppetmaster в настройке балансировки нагрузки. Этот вопрос не об этом.)
Совместное использование экспортированных ресурсов проблематично, поскольку требует взаимного доверия между собирающим мастером и хранящим PuppetDB. Для этого вам нужно будет совместно использовать Puppet CA, и это размывает разделение инфраструктуры.
Возможно, вам больше повезет с добавлением дополнительных агентов в инфраструктуру мониторинга. Они подключатся к мастеру марионеток клиента и будут собирать только ресурсы оттуда. Затем вам нужно будет разработать способ создания согласованной конфигурации из ресурсов, которыми два агента управляют независимо.